Passwortsicherheit in Webanwendungen mit Phpass

[joku]

Nur was hat das nun noch gleich mit dem Sicherheitsaspekt auf sich, gemäß folgendem Zitat:

Das Du es wissen solltest und einfach mal die Suchmaschiene Deiner Wahl befragen.

 

[blueangel1610]

Ok. Check! Recherchiert.
Ich habe nun ein paar Funktionen, welche bei unsachgemäßer Nutzung ein Sicherheitsproblem darstellen deaktiviert.
Dazu habe ich mittels dem vi - editor in der Datei php.ini in Zeile 390 nun die Funktionen 'exec, passthru, phpinfo, popen, proc_open, shell_exec, show_source, system' deaktiviert. Um zu schauen, ob diese Einträge auch übernommen wurden, habe ich die Datei nochmals lesend geöffnet. Einträge wurden übernommen.

Die Funktion phpinfo(); kann ich allerdings noch immer ausführen. Was könnte ich falsch gemacht haben an dieser Stelle?

 

[jahlives]

ich würde ned versuchen Kommandos zu deaktivieren. Es gibt viele Scripte die z.B. exec, passthru oder shell_exec nutzen. Zudem kann man auch mit einem unlink oder einem fsockopen Schweinereien anstellen, um nur zwei zu nennen. Und das sind fkt die du täglich brauchst in PHP. imho ist es der bessere Ansatz via restriktiven openbasedir den Zugriff von PHP zu beschränken, als Funktionen zu verbieten. Zudem ist es bei einen Linux schon so, dass du für die meisten wirklich schlimmen Schweinereien eh root Rechte brauchst, von dem her kann schonmal nicht soviel passieren wenn der Server nicht als root läuft ;-)